Bluekeep droht zu WannaCry 2.0 zu werden

Patrick Steinmetz kritisiert nicht-gepatchte IT-Systeme in Unternehmens-Verbünden

[datensicherheit.de, 09.07.2019] Trotz des enormen Gefahrenpotenzials seien immer noch viele IT-Systeme anfällig für Cyber-Angriffe mittels „Bluekeep“, „weil sie noch nicht gepatcht wurden“, warnt Patrick Steinmetz, „DACH Sales“ bei BitSight. Neben Microsoft warnten auch Organisationen wie das BSI, die NSA und das Department of Homeland Security vor dieser Schwachstelle und rieten dringend zu Gegenmaßnahmen – sonst könnte ein Angriff ähnlich verheerende Folgen haben wie der mit „WannaCry“. Es sei „höchste Zeit zu patchen“. Neben der eigenen müssten sich aber Unternehmen mit vielen Lieferanten auch auf deren Cyber-Sicherheit verlassen können – „dabei hilft eine immer wichtiger werdende Unterdisziplin von ,Supply Chain Risk Management‘“.

Microsoft hat Sicherheitslücke Bluekeep entdeckt

Vor etwas mehr als einem Monat habe Microsoft die Sicherheitslücke „Bluekeep“ entdeckt, welche die schlimmsten Cyber-Angriffe seit der berüchtigten Ransomware-Attacke „WannaCry“ im Jahr 2017 ermöglichen könnte.
Steinmetz: „,WannaCry‘ konnte sich nur deshalb so weit ausbreiten und solch immense Schäden verursachen, weil Tausende von Systemen nicht gepatcht waren. Microsoft hatte zwar einen Patch bereitgestellt, der vor ,WannaCry‘ geschützt hätte, aber dieser Patch war bei vielen Systemen nicht aufgespielt worden. So blieben diese Systeme verwundbar.“

RDP-Sicherheitslücke birgt großes Gefahrenpotenzial

Mit „Bluekeep“ drohe sich die Geschichte zu wiederholen: Einige Wochen nach der Entdeckung und Bereitstellung des Patches durch Microsoft seien immer noch fast eine Millionen Systeme mit extern exponiertem „Remote Desktop Protocol“ (RDP) ungepatcht.
Die als „Bluekeep“ bezeichnete RDP-Sicherheitslücke berge ein so großes Gefahrenpotenzial, dass neben Microsoft auch die National Security Agency (NSA) darüber informiere. Microsoft habe mehrere Blogposts darüber veröffentlicht. Die NSA gebe an, dass die terroristische Organisation ISIS nach Wegen suche, „Bluekeep“ für Cyber-Angriffe auszunutzen. Das Department of Homeland Security fordere jeden dazu auf, jetzt seine Systeme zu patchen.

Gemeinsamkeiten zwischen BlueKeep und WannaCry beunruhigend

„Die Gemeinsamkeiten zwischen ,BlueKeep‘ und ,WannaCry‘ sind beunruhigend. Beide sind das Ergebnis von RDP-Exploits. Beide sind Exploits, die ein Wurm ausnutzen kann, der sich dann automatisch über Systeme hinweg verbreiten würde, ohne dass eine Benutzerauthentifizierung oder -interaktion erforderlich ist“, erläutert Steinmetz.
Wenn trotz des „derart hohen Gefahrenpotenzials“ immer noch Systeme ungepatcht sind, stelle sich die Frage nach den Gründen dafür. Einer könnte sein, dass Unternehmen nicht so gewissenhaft sind wie sie sein sollten, wenn es um die Cyber-Sicherheit ihrer Lieferanten geht. Die Transparenz der Cyber-Sicherheit der Lieferkette – oder das Fehlen dieser Transparenz – sei ein großes Problem, besonders in unserer immer stärker vernetzten Welt.

Auch Lieferanten und Partner müssen ihre IT-Systeme routinemäßig patchen

Infolge der Globalisierung arbeiteten Unternehmen völlig selbstverständlich mit Anbietern aus der ganzen Welt zusammen, die IT-Sicherheit sehr unterschiedlich handhabten. „Wie können sie sicher sein, dass ihre Lieferanten und Partner ihre Systeme routinemäßig patchen, um sicherzustellen, dass sie vor Schwachstellen wie ,BlueKeep‘ und ,WannaCry, geschützt sind?“
Unternehmen könnten ihre Lieferanten einfach fragen, „ob sie ihre Sorgfaltspflicht erfüllen und auf gute Cyber-Hygiene achten“. Aber wenn die Lieferanten dann mit „ja“ antworten: „Wer weiß, ob das wirklich wahr ist?“ Unternehmen könnten von ihren Lieferanten auch verlangen, dass sie ihre IT-Sicherheit verbessern, aber die Unternehmen bräuchten dann immer noch einen Weg, um zu prüfen, dass diese Verbesserungen stattgefunden haben und erfolgreich waren („vertrauen, aber überprüfen“). Unternehmen könnten Lieferanten auch von ihrem Netzwerk trennen, aber das könne je nach Wichtigkeit des Lieferanten zu enormen Störungen im eigenen Unternehmen führen.

Cyber-Risiken senken: Unternehmen benötigen Informationen, welche Lieferanten es ernst meinen

Ein besserer Ansatz sei stattdessen, Transparenz über die Cyber-Sicherheit der Lieferanten zu gewinnen. Diese Unterdisziplin von „Supply Chain Risk Management“ werde auch als Risikomanagement des Cyber-Risikos der Lieferanten bezeichnet. „Im Zuge dessen werden zuerst mit technischen Lösungen in Echtzeit und automatisiert die Sicherheitsschwachstellen von Lieferanten aufgespürt. Mit diesem Wissen können Unternehmen zweitens bei ihren Lieferanten darauf hinwirken, gezielt Schwachstellen zu beseitigen“, führt Steinmetz aus. Drittens werde mit den oben erwähnten technischen Lösungen dann überprüft, ob die Schwachstellen tatsächlich erfolgreich beseitigt wurden. „So gewinnen Unternehmen Daten darüber, welche ihrer Lieferanten es ernst meinen, Cyber-Risiken zu senken und dazu beitragen, dass die von ihrer Lieferkette ausgehenden Cyber-Risiken sinken.“
Ohne eine derartige, datenbasierte Transparenz blieben Unternehmen über ihre Lieferkette angreifbar. Genau darauf setzten Organisationen wie ISIS und andere Gruppen. Sie wüssten, dass manche Unternehmen Themen wie „Bluekeep“ nicht so viel Aufmerksamkeit schenken wie sie sollten. Denn die Angreifer bräuchten nur eine einzige passende Schwachstelle, um einen sich rasend schnell ausbreitenden Angriff durchzuführen.

Malware, die Bluekeep ausnutzt, nur noch eine Frage der Zeit

Derzeit seien bei Unternehmen aus den Branchen Telekommunikation, Bildung und Technologie noch die meisten Systeme ungepatcht und daher verwundbar für Angriffe über „Bluekeep“. Es könnte schwerwiegende Folgen haben, wenn ein Angreifer unter Ausnutzung von „Bluekeep“ in das Kommunikationsnetz eines Landes eindringen würde.
Unternehmen müssen so viele Schwachstellen wie möglich schließen, um Angreifern keine Gelegenheiten zu bieten. Sie sollten sich nicht zurücklehnen und darauf warten, „bis Malware erkannt wird, denn das ist nur eine Frage der Zeit“. Unternehmen dürften auch nicht das Risiko eingehen, ungewollt bei der Finanzierung eines Terroranschlags mitzuwirken, „indem sie bösartigen Akteuren erlauben, Zugang zu ihren Konten zu erlangen“. Stattdessen müssten Unternehmen Transparenz in ihre Lieferkette und die davon ausgehenden Cyber-Risiken bringen. Sie müssten Schwachstellen bei sich und bei ihren Lieferanten schließen. „Dazu brauchen sie Planung und Vorbereitung. Noch existiert so gut wie keine Malware, die ,Bluekeep‘ ausnutzt, aber das ist nur eine Frage der Zeit. Es ist jetzt Zeit zu handeln, bevor ,Bluekeep‘ zu ,WannaCry 2.0‘ wird“, betont Steinmetz.

Foto: BitSight

Patrick Steinmetz: Zeit zu handeln, bevor „Bluekeep“ zu„WannaCry 2.0“ wird!

Weitere Informationen zum Thema:

NSA
NSA Cybersecurity Advisory: Patch Remote Desktop Services on Legacy Versions of Windows

Microsoft
TechNet / CVE-2019-0708

HomelandSecurityToday.us, 17.06.2019
New ISIS Cybersecurity Bulletin Shows Interest in Microsoft BlueKeep Bug

BITSIGHT, 11.06.2019
New Study: Organizations Struggle to Manage Cyber Risk in Their Supply Chains

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen